ブログ
PDPAに基づく個人情報の消去、破棄または匿名化の基準に関する告示
2024.09.17
タイ個人情報保護委員会(Personal Data Protection Commission、以下「PDPC」といいます。)は、2024年8月13日付で、タイ個人情報保護法(Personal Data Protection Act B.E.2562、以下「PDPA」といいます。)に基づき、データ主体が、データ管理者に対して個人情報の消去、破棄、または匿名化を要求する権利に関する告示を公表しました(以下「本告示」といいます。)本告示は、2024年11月11日より発効されることが予定されています。本告示の主な内容は以下の通りです(タイ語原文はこちらをご覧ください)。
1. データ主体からの請求に対する対応期間
データ主体からの請求を受領した際、データ管理者は、PDPAに基づく免除規定が適用されるのでない限り、当該請求を受領した日から90日を超えない期間内に請求に応じなければなりません。
2. 実施の範囲
データ主体からの請求を受領した場合、データ管理者は、以下の対応を行う必要があります。
(1) 個人情報のコピーまたはバックアップを含む、個人情報の消去、破棄、または匿名化
(2) 合理的に予想可能な方法により、個人情報の回復または再識別を行い、データ主体を直接的または間接的に特定できないようにすること
3. データ主体からの請求内容とは異なる方法による対応
データ管理者は、データ主体が要請した方法とは異なる方法により、個人情報を消去、破棄、または匿名化することも可能です。ただし、このような対応を取った場合、データ管理者は、採用した代替措置をデータ主体に通知しなければなりません。 例えば、データ主体がデータ管理者に対して、自身の個人情報の消去を要求した場合であって、当該要求が本告示に定める要件(以下「6.匿名化の禁止」)に該当しない場合には、消去ではなく匿名化による対応を行うことができます。
4. 期限内に請求への対応ができない場合
技術的な理由またはその他の理由により、データ管理者が、定められた期間内に個人情報の消去、破棄、または匿名化を行うことができない場合、データ管理者は、消去、破棄、または匿名化が完了するまでの間、当該個人情報の収集、利用、または開示を困難にする措置を講じなければならなりません。
5. 匿名化の基準
個人情報を匿名化する場合における、匿名化の基準は以下の通りです。
(1) 氏名、名字、識別番号、個人用口座番号またはコード、個人用連絡先番号、個人用メールアドレス、個人用車両登録番号、顔画像、生体認証データ、各種アプリケーション/オンラインサービスにおける個人用アカウント等、直接的な識別子を消去または非識別化する手順を含むこと
(2) 上記(1)の手順を実施した後、当該個人情報が間接的に識別されないことを保証するための追加手順をとること
6. 匿名化の禁止
データ管理者は、以下の場合、個人情報の匿名化または非識別化を行うことは認められず、消去または破棄を行わなければなりません。
(i) 個人情報が違法に収集、使用、または開示されている場合(PDPA33条4項)であって、かつ
(ii) 当該違法な収集、使用、または開示が、(a)PDPAの適用除外に該当しないか(PDPA33条2段落)または(b)その他、データ管理者が法令において拒否することが認められる場合でないこと
7. データ主体への通知
データ管理者は、データ主体に請求への対応の完了を通知しなければなりません。また、匿名化または非識別化を行った場合であれば、匿名化または非識別化の実施の詳細も通知しなければなりません。
8. 適用除外
本告示1から3の規定は、個人情報の消去、破棄、または匿名によって、第三者の個人情報に関する権利または利益に悪影響を及ぼす可能性がある等、特段の必要性がある場合や、消去、破棄、または匿名化が不可能である個人情報には適用されません。このような場合、データ管理者は、データ主体に対してそのような特段の理由を通知する義務を負います。
執筆者:
Monchai Varatthan
杉浦翔太
Marin Viriyapongpanich (Lin)
Member
PROFILE
PROFILE